1 完善的身份管理和认证
为了确保合法用户才能访问其拥有权限的后台资源,解决IT 系统中普遍存在的交叉运维而无法定位到具体人的问题,满足审计系统“谁做的”要求,系统提供一套完整的身份管理和认证功能。
支持账号分属组织的管理模式;组织管理能力,支持纵向七级、横向 255 个的组织划分能力,能够实现更完善的分权管理和分权审计;
支持运维用户和管理员采用同一个账号;
支持管理员、运维用户的静态口令、数字证书、动态口令、LDAP、AD 域、Radius等认证方式 支持 AD 域、LDAP 账号的自动同步;
支持密码强度、密码有效期(按天设置)、口令尝试死锁、用户激活、备注、访问白名单等安全管理功能;
支持用户分组管理,并且单个用户可以属于多个用户组;
支持用户信息导入导出,方便批量处理;
支持系统管理员、运维管理员、设备账号管理员、会话审计员、管理审计员等管理员角色;
审计员分权管理,分为会话审计员、管理审计员,其中会话审计员只能审计会话信息,管理审计员只能审计NetEye 统一身份管理系统自身操作信息。
2 后台账号口令集中管理
系统支持对后台各类资源(主机、服务器、网络设备、数据库等)的账号口令进行统一管理,即后台资源的账号口令由系统托管,用户登录系统后,系统根据用户权限分配后台资源的使用权。
托管账号支持一站式关联用户、关联用户组。
3 SSO 单点登录
SSO 单点登录功能是运维人员通过东软 NetEye 统一身份管理系统认证和授权后,东软NetEye 统一身份管理系统根据配置策略实现后台资源的自动登录。此功能提供了运维人员到后台资源账号的一种可控对应,同时实现了对后台资源账号的口令统一保护。
管理员将后台资源账号及口令配置到东软NetEye 统一身份管理系统中;
根据管理员配置,实现运维用户与后台资源账号对应,限制账号的越权使用;
运维用户通过东软 NetEye 统一身份管理系统认证和授权后,东软 NetEye 统一身份管理系统根据分配的账号实现自动登录后台资源。
支持的 SSO 账号类型包括:
支持 Windows、Linux、Unix 等服务器账号自动登录
支持 CISCO(包括特权账号)、H3C 等网络设备账号自动登录
支持 FTP、VNC、SFTP 等账号自动登录
支持 PLSQL、SQLPLUS 等数据库工具账号自动登录
4 后台设备自动改密
安全策略往往需要对后台设备的账号密码进行定期修改,由于各种原因无法落地。对于之前已经实现SSO 的账号密码,东软 NetEye 统一身份管理系统提供定期修改功能:
根据口令安全策略,东软NetEye 统一身份管理系统定期自动修改后台资源帐户口令;
支持密码更新周期自定义,可以按天设置;
根据管理员配置,实现运维用户与后台资源账号对应,限制账号的越权使用;
运维用户通过 NetEye 统一身份管理系统认证和授权后,东软 NetEye 统一身份管理系统根据分配的账号实现自动登录后台资源。
实际应用时存在多台设备具备相同的帐号、密码的情况,可以通过“统一账号管理”实现,只需要手工添加一次账号,无需多次添加;并且启用密码定期修改功能时,该账号密码自动修改为相同的密码。
5 电子口令保管箱
对于托管的后台设备口令,除支持以文件导出、邮件等的方式进行备份外,还支持把该
托管口令备份到专用的口令安全存储设备上,防止口令丢失的风险。对于该口令安全存储设
备的访问,支持指纹方式认证。
6 访问控制及授权
6.1 灵活、细粒度的授权